Microsoft još uvijek digitalno potpisuje zlonamjerni softver

Ponekad je prilikom provale u zaštićeni objekt lakše ući kroz ulazna vrata nego prijeći preko zida. Hakeri sve više otkrivaju da je to istina kada je riječ o preuzimanju zlonamjernog softvera na Windows.

Ranije ove godine zlonamjerni softver pod nazivom “netfilter” potpisali su Microsoftovi hardverski laboratoriji, što mu je omogućilo da zaobiđe ugrađenu obranu sustava Windows. Netfilter rootkit bio je zlonamjerni upravljački program kernela koji se distribuirao s kineskim igrama i koji komunicira s kineskim poslužiteljima za zapovijedanje i upravljanje.

Čini se da je tvrtka porazila Microsoftovu sigurnost jednostavno slijedeći normalne procedure i slanjem upravljačkog programa kao što bi to učinila svaka normalna tvrtka.

Bitdefender sigurnosni istraživači sada su identificirali novi rootkit potpisan s Microsoftom, nazvan FiveSys, koji je također digitalno potpisan od strane Microsoftovih Windows Hardware Quality Labs (WHQL) i koji se distribuira korisnicima Windowsa u divljini, posebno u Kini.

Svrha FiveSys rootkita je preusmjeravanje internetskog prometa na zaraženim strojevima putem prilagođenog proxyja, koji je izvučen iz ugrađenog popisa od 300 domena. Preusmjeravanje radi i za HTTP i za HTTPS; rootkit instalira prilagođeni root certifikat za rad HTTPS preusmjeravanja. Na taj način preglednik ne upozorava na nepoznati identitet proxy poslužitelja.

Rootkit također koristi različite strategije za zaštitu, kao što je blokiranje mogućnosti uređivanja registra i zaustavljanje instalacije drugih rootkita i zlonamjernog softvera iz različitih grupa.

Bitdefender je kontaktirao Microsoft koji je ubrzo nakon toga povukao potpis, ali tko zna koliko je drugih trojanskih konja u divljini.

preko Neowin